CGI程序

CGI漏洞的发现及利用原理1. 输入验证不充分：Web应用程序在接收用户输入之前通常需要进行输入验证，例如对输入进行长度、格式、类型等方面的检查。

如果输入验证不充分，攻击者可以通过构造特定的输入来绕过验证，并利用这个漏洞进行攻击。

2. Shell注入：Shell注入是一种常见的CGI漏洞攻击方式，攻击者可以通过在输入中注入Shell命令，从而执行任意代码。

通常情况下，攻击者会通过输入构造借由脚本执行的Shell命令，例如将输入构造为“;”和“，”等特殊字符，来绕过输入验证和过滤机制。

3. 目录遍历：目录遍历是一种通过构造恶意输入来获取服务器上敏感文件的攻击方式。

攻击者通过构造特定的输入，例如在输入中使用“../”等特殊字符，来绕过Web应用程序对文件路径的限制，从而获取服务器上的敏感文件。

4. 文件包含：文件包含是指Web应用程序在处理请求时，通过包含其他文件的方式来实现一些功能。

如果攻击者能够控制文件包含的输入，就可以通过构造特定的输入来包含任意文件，并执行其中的代码。

5. CSRF（Cross-Site Request Forgery）：CSRF是一种利用用户身份和权限，在用户不知情的情况下执行非法操作的攻击方式。

攻击者通过构造特定的请求，例如隐藏在图片或链接中的恶意请求，来利用用户的登录状态和权限对Web应用程序进行攻击。

实际利用CGI漏洞进行攻击的过程如下：1. 攻击者首先需要发现存在漏洞的Web应用程序，可以通过或扫描工具来获取目标。

2. 确定存在的漏洞类型，例如输入验证不充分、Shell注入、目录遍历、文件包含或CSRF等。

3.构造特定的恶意输入，利用漏洞进行攻击。

攻击者需要根据漏洞的类型来构造特定的输入，以达到绕过验证、注入代码、获取敏感文件或执行非法操作等目的。

4.进行漏洞利用。

攻击者通过发送特定的请求或构造特定的URL来触发脚本执行，获取敏感信息，或实现其他的攻击目的。

为了防止CGI漏洞的利用，Web应用程序开发者可以采取以下措施：1.对输入进行充分的验证和过滤，包括长度、格式、类型等方面的检查，以防止恶意输入的注入。

敬告：其实当前的cgic版本已经有上传的功能了，可以看看自带的test文件用C语言编写cgi程序的话，多半会用到CGIC。

这是个非常流行的库，遇到文件上传之类的应用更是离不开它。

官方页面及下载地址为：/cgic/#obtain不少网站都有文件上传的功能，本文展示如何用CGIC库编写文件上传的服务端程序，最后给出一段简单的HTML代码，供大家测试使用。

下载: upload.c[cpp:nogutter]view plaincopyprint?#include<stdio.h>#include<string.h>#include<unistd.h>#include<fcntl.h>#include<sys/stat.h>#include"cgic.h"#define BufferLen 1024int cgiMain(void){cgiFilePtr file;int targetFile;mode_t mode;char name[128];char fileNameOnServer[64];char contentType[1024];char buffer[BufferLen];char *tmpStr=NULL;int size;int got,t;cgiHeaderContentType("text/html");//取得html页面中file元素的值，应该是文件在客户机上的路径名if (cgiFormFileName("file", name, sizeof(name)) !=cgiFormSuccess) {fprintf(stderr,"could not retrieve filename/n");goto FAIL;}cgiFormFileSize("file", &size);//取得文件类型，不过本例中并未使用cgiFormFileContentType("file", contentType, sizeof(contentType));//目前文件存在于系统临时文件夹中，通常为/tmp，通过该命令打开临时文件。

cgi协议书CGI（通用网关接口）是一种标准协议，用于在 Web 服务器和外部应用程序之间进行交互。

它提供了一种在 Web 页面上执行外部程序的方法，使得服务器能够动态生成内容并通过浏览器进行显示。

下面是关于CGI协议的完整介绍。

一、什么是CGI协议CGI（通用网关接口）是一种标准协议，用于在 Web 服务器上执行外部程序。

它是一种将 Web 服务器与外部应用程序连接起来的方法。

通过使用CGI，Web服务器可以与各种外部应用程序进行交互，包括数据库、文件系统、网络服务等。

二、CGI的原理1. 浏览器发送请求。

用户在浏览器中输入URL，并点击“提交”按钮后，浏览器会发送一个HTTP请求到Web服务器。

2. Web服务器接收请求。

Web服务器接收到浏览器发送的HTTP请求，并根据请求的URL进行处理。

3. Web服务器调用CGI程序。

如果URL中包含CGI的文件名扩展名（例如.cgi、.pl等），Web服务器会调用对应的CGI程序进行处理。

4. CGI程序执行。

CGI程序会读取浏览器发送的请求，并进行相应的处理。

它可以执行各种操作，如读取数据库、处理表单数据、生成动态内容等。

5. CGI程序返回响应。

CGI程序处理完请求后，会生成一个HTTP响应并发送回浏览器。

响应可以是一个HTML页面、一个XML文档、一个纯文本文件等。

6. Web服务器发送响应。

Web服务器收到CGI程序返回的响应后，会将响应发送回浏览器。

浏览器会将响应解析并显示在页面上。

三、CGI的特点1. 动态内容生成。

CGI程序可以根据浏览器发送的请求生成动态内容，使得页面内容可以根据用户的需求进行定制。

2. 数据库连接。

CGI程序可以连接数据库，读取和写入数据，实现更复杂的Web应用。

3. 文件操作。

CGI程序可以读取和写入文件，实现对文件的增删改查等操作。

四、CGI的优缺点1. 优点：- 可扩展性强。

通过编写CGI程序，可以实现各种复杂的Web 应用。

CGI概述：CGI全称是“公共网关接口”(Common Gateway Interface)，HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具，其程序须运行在网络服务器上。

CGI可以为我们提供许多HTML无法做到的功能。

比如 a.一个记数器 b.顾客信息表格的提交以及统计 c.搜索程序 d.WEB数据库，用Html是没有办法记住客户的任何信息的，就算用户愿意让你知道。

用Html也是无法把信息记录到某一个特定文件里的。

要把客户端的信息记录在服务器的硬盘上，就要用到CGI。

这是CGI最重要的作用，它补充了Html的不足。

是的，仅仅是补充，不是替代。

VoIP概述：VoIP（Voice over Internet Protocol）简而言之就是将模拟声音讯号（Voice）数字化，以数据封包（Data Packet）的形式在 IP 数据网络 (IP Network）上做实时传递。

VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境，提供比传统业务更多、更好的服务。

VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务，如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。

VoIP(Voice over Internet Protocol）是一种以IP电话为主，并推出相应的增值业务的技术。

VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境，提供比传统业务更多、更好的服务。

VoIP相对比较便宜。

为什么？ VoIP电话不过是互联网上的一种应用。

网络电话不受管制。

因此，从本质上说，VoIP电话与电子邮件，即时讯息或者网页没有什么不同，它们均能在经过了互联网连接的机器间进行传输。

这些机器可以是电脑，或者无线设备，比如手机或者掌上设备等等。

为什么VoIP服务有些要收钱，有些却免费？ VoIP服务不仅能够沟通VoIP用户，而且也可以和电话用户通话，比如使用传统固话网络以及无线手机网络的用户。

CGI技术原理⼀、CGI技术1.1 CGI的提出 CGI是外部扩展应⽤程序与WWW服务器交互的⼀个标准接⼝。

按照CGI标准编写的外部扩展应⽤程序可以处理客户端（⼀般是WWW浏览器）输⼊的协同⼯作数据，完成客户端与服务器的交互操作。

这在实际应⽤中⾮常有⽤，如可以编写CGI外部扩展程序来访问外部数据库，客户端⽤户可以通过它和WWW服务器来进⾏数据查询。

CGI⼀般分两种：标准CGI和缓冲CGI。

所有的WWW服务器均应⽀持标准CGI，按标准CGI编写的程序与具体的WWW服务器⽆关。

⽽按缓冲CGI编写的程序与WWW服务器有关。

1.2 CGI的⼯作原理 1．标准CGI 客户端、服务器、CGI接⼝与外部程序间的关系可⽤图1－1表⽰（编排者：图略）：如上图所⽰，服务器是客户端（如浏览器）与扩展程序之间的通道。

当客户端的⽤户完成了⼀定输⼊⼯作（⽐如填充完HTML⽂档中的FORM表）之后向服务器发出HTTP请求（称为CGI请求），服务器守护进程接收到该请求后，就创建⼀个⼦进程（称为CGI进程）。

该CGI⼦进程将CGI请求的有关数据设置成环境变量，在外部CGI程序与服务器间建⽴两条数据通道（标准I／O），然后启动URL指定的CGI程序，并与该⼦进程保持同步，以监测CGI程序的执⾏状态。

⼦进程通过标准输出流将处理结果传递给服务器守护进程，守护进程再将处理结果作为应答消息回送到客户端。

外部CGI程序通过环境变量、命令⾏参数、标准输⼊输出与WWW服务器进⾏通讯，传递有关参数和处理结果。

＊环境变量：当服务器守护进程创建⼦进程运⾏CGI程序时，设置相应的环境变量和命令⾏参数，以传递客户端和服务器的有关信息给该⼦进程。

＊命令⾏参数：命令⾏参数仅在有HTML⽂档中有SINDEX查询的情况下使⽤。

＊标准输⼊输出：当HTTP请求模式采⽤POST⽅式时，CGI程序通过标准输⼊流和有关环境变量来获取客户端传输数据；如采⽤GET⽅式时，CGI程序直接通过环境变量获取客户端传输数据。

⼀、CGI概述1.CGI概念 CGI即通⽤⽹关接⼝(Common Gateway Interface),它是⼀个WWW服务器主机对外服务的标准接⼝。

⼀般来说,⼀个CGI接⼝的功能就是在超⽂本⽂件和服务器主机应⽤程序间传递信息。

　2.CGI程序语⾔ 事实上,任何⼀种程序语⾔,只要能在服务器主机上利⽤CGI接⼝来编写应⽤程序,都可以叫作CGI程序语⾔。

⽬前最为流⾏的CGI程序语⾔有四种:C、Shell、Perl和Visual Basic,其它⼀些语⾔也有许多⼈在⽤,如TCL、Frotran及AppleScript等。

下⽂我们将介绍⽤C语⾔编写CGI的⽅法。

　3.CGI程序的执⾏ CGI程序⼀般是个可执⾏程序。

编译好的CGI程序⼀般要集中放在⼀个⽬录下。

具体存放的位置随操作系统的不同⽽不同,例如UNIX系统下是放在cgi-bin⼦⽬录下,⽽在Windows操作下(注意,这⾥不包括NT4.0)以Webstar或Website作WWW服务器,CGI程序都放在cgi-win下。

CGI程序的执⾏⼀般有两种调⽤⽅式:⼀种是通过URL直接调⽤,如:/cgi-win/cgi.exe,在Netscape的URL栏⾥直接写⼊上述描述就可以调⽤该程序:另⼀种⽅式,也是主要的⽅式是通过交互式主页⾥的FORM栏调⽤,通常都是⽤户在填完⼀张表后按确认按钮启动CGI程序。

　4.CGI⼯作的主要流程 CGI⼯作的主要流程是:1.通过HTML获取⽤户输⼊的信息;2.将⽤户输⼊的信息传给服务器主机应⽤程序(如数据库查询);3.将服务器处理结果通过HTML⽂件返回给⽤户。

⼆、Windows平台下CGI的⼯作原理 CGI主要的功能不外乎在服务器应⽤程序和客户之间传递信息。

我们知道,通常CGI应⽤在服务器和客户端传递信息是通过输⼊输出流来实现的,如UNIX平台下的CGI,通过读取输⼊流Scanf来获取⽤户输⼊,读取输出流printf向⽤户输出结果。

简介作为一个英文缩写，该名词有多种含义：CGI (Common Gateway Interface) 通用网关接口CGI（Computer Generation Image）计算机合成图像/电脑三维动画CGI（Computer Graphics Interface) 计算机图形接口标准CGI（Cell Global Identifier) 全球小区识别码CGI（Compacted Graphite Iron）缩状石墨铸铁CGI（Clinton Global Initiative ）克林顿全球倡议CGI （Clinical Global Impression）临床疗效总评量表通用网关接口Common Gateway Interface，简称CGI。

在物理上是一段程序，运行在服务器上，提供同客户端HTML页面的接口。

这样说大概还不好理解。

那么我们看一个实际例子：现在的个人主页上大部分都有一个留言本。

留言本的工作是这样的：先由用户在客户端输入一些信息，如名字之类的东西。

接着用户按一下“留言”（到目前为止工作都在客户端），浏览器把这些信息传送到服务器的CGI目录下特定的cgi程序中，于是cgi程序在服务器上按照预定的方法进行处理。

在本例中就是把用户提交的信息存入指定的文件中。

然后cgi程序给客户端发送一个信息，表示请求的任务已经结束。

此时用户在浏览器里将看到“留言结束”的字样。

整个过程结束。

功能绝大多数的CGI程序被用来解释处理来自表单的输入信息，并在服务器产生相应的处理，或将相应的信息反馈给浏览器。

CGI程序使网页具有交互功能。

运行环境CGI程序最初在UNIX操作系统上CERN或NCSA格式的服务器上运行。

在其它操作系统（如：Windows NT及Windows 95等）的服务器上也广泛地使用CGI 程序，同时它也适用于各种类型机器。

处理步骤⑴通过Internet把用户请求送到服务器。

⑵服务器接收用户请求并交给CGI程序处理。

网页控制基本原理简介（一）—CGI和SSI简介TI 例程中的Demo2采用的就是这种方法。

CGI：Common Gate Interface，简称CGI。

在物理上是一段程序，运行在服务器上，提供同客户端Html页面的接口。

这样说大概还不好理解。

那么我们看一个实际例子：现在的个人主页上大部分都有一个留言本。

留言本的工作是这样的：先由用户在客户端输入一些信息，如名字之类的东西。

接着用户按一下“留言”（到目前为止工作都在客户端），浏览器把这些信息传送到服务器的CGI目录下特定的cgi程序中，于是cgi程序在服务器上按照预定的方法进行处理。

在本例中就是把用户提交的信息存入指定的文件中。

然后cgi程序给客户端发送一个信息，表示请求的任务已经结束。

此时用户在浏览器里将看到“留言结束”的字样。

整个过程结束。

SSI：将内容发送到浏览器之前，可以使用“服务器端包含(SSI)”指令将文本、图形或应用程序信息包含到网页中。

例如，可以使用SSI 包含时间/日期戳、版权声明或供客户填写并返回的表单。

对于在多个文件中重复出现的文本或图形，使用包含文件是一种简便的方法。

将内容存入一个包含文件中即可，而不必将内容输入所有文件。

通过一个非常简单的语句即可调用包含文件，此语句指示Web 服务器将内容插入适当网页。

而且，使用包含文件时，对内容的所有更改只需在一个地方就能完成。

因为包含SSI 指令的文件要求特殊处理，所以必须为所有SSI 文件赋予SSI 文件扩展名。

默认扩展名是 .stm、.shtm 和 .shtml简单来说有以下几个关键词：运行在服务器端：CGI的处理函数运行在服务器端，说白点现在就是LM3S8962开发板。

浏览器发送uri：通过提交HTML表单的方式来提交请求CGI函数处理的必要信息。

CGI处理函数：当Http服务器收到了uri之后，分析它是否是CGI处理结构体中的某一个函数，如果有的话，就调用处理函数去处理，如果没有，就去寻找其它的网页。